Qualcuno ha pubblicato un elenco completo di 1 milione di indirizzi e-mail e 272.000 nomi, indirizzi postali e numeri di telefono appartenenti ai clienti di Ledger, il produttore francese di portafogli hardware per criptovaluta – qui le quotazioni in tempo reale.
Quest’ultimo elenco è molto più grande del numero precedentemente divulgato da Ledger (9.500). Ledger non ha ancora commentato la vicenda ed ha rinnovato le scuse per la violazione. La società ha assunto un nuovo chief information security officer e ha eliminato 170 siti di phishing dalla violazione, ha affermato.
Perché mantenere i dati?
Il data dump di domenica serve come promemoria per riflettere sul fatto che anche un produttore di hardware per criptovalute può diventare un obiettivo di dati sensibili prezioso per gli hacker. Il motivo è in parte dovuto agli imperativi di marketing di una startup e in parte a requisiti legali e normativi.
In una FAQ pubblicata a luglio, Ledger ha affermato che un hacker ha avuto accesso a parte del suo database di marketing tramite la chiave API di una terza parte che era stata configurata in modo errato sul sito Web di Ledger.
Non appena la violazione è stata scoperta, la chiave è stata disattivata, ha detto la società. Ma non in tempo per impedire agli hacker di accedere alle liste e, a quanto pare, di venderle ad esperti di phishing.
Perché una terza parte dovrebbe avere una chiave API? La FAQ prosegue spiegando: “I team di e-commerce e marketing di Ledger utilizzano una soluzione di terze parti (Iterable) per inviare e analizzare le e-mail transazionali e di marketing ai clienti che hanno acquistato prodotti su ledger.com o si sono iscritti per ricevere le nostre newsletter.”
Per quanto tempo vengono mantenuti i dati?
E per ciò che riguarda tutti gli indirizzi e-mail, nomi e numeri di telefono? La sezione FAQ continua: “Per motivi legali, siamo obbligati a memorizzare alcune informazioni transazionali relative ai dettagli di contatto dei nostri clienti e ai dati dei loro ordini.
In conformità con il principio di limitazione dell’archiviazione stabilito dalle leggi applicabili, ci sforziamo di conservare i dati per non più del tempo necessario per ottemperare a tali scopi legittimi e legali, incluso il soddisfacimento di eventuali requisiti legali, contabili, fiscali o di altro tipo di segnalazione di conformità.
Potremmo archiviare alcuni dei tuoi dati personali, con accesso limitato, per un periodo di tempo aggiuntivo quando è strettamente necessario per noi per ottemperare ai nostri obblighi di archiviazione legali e/o regolamentari e per i termini di prescrizione applicabili.
Al termine di questo periodo aggiuntivo, i tuoi dati personali rimanenti verranno definitivamente cancellati o resi anonimi dai nostri sistemi. Potremmo conservare alcuni dati transazionali allegati ai tuoi dati di contatto per ottemperare ai nostri obblighi legali, fiscali o contabili per un periodo massimo di 10 anni stabilito dalle leggi francesi applicabili, nonché per tutelare i nostri diritti (ad esempio per far valere le nostre pretese in tribunale) durante i vigenti statuti di prescrizione francesi.” In altre parole, a volte le aziende hanno le mani legate e devono trattenere i dati dei clienti anche se non vogliono.
